TheProtector – script de monitoreo de seguridad para Linux basado en Bash

• Herramienta de monitoreo de seguridad basada en host solo para Linux, creada por un desarrollador inconforme con el alto costo de las herramientas de seguridad empresariales (alrededor de $50,000 al año) y su diseño centrado en Windows
• Supervisa en tiempo real malware, rootkits e intentos de ocultamiento mediante detección multicapa que abarca tanto el espacio de usuario como el espacio del kernel
• Funciona como un único script de Bash, con muy pocas dependencias, por lo que es fácil de instalar y la mayoría de los administradores de Linux pueden leerlo y modificarlo directamente
• Diseñado para poder usarse también en entornos de bajo costo (el desarrollador lo creó en una laptop de $500)

Funciones principales

• Monitoreo en tiempo real: supervisión de procesos, red y archivos
  • Rastreo de eventos del kernel basado en eBPF: seguimiento en tiempo real de la ejecución de procesos y análisis de llamadas al sistema
  • Detección de malware basada en reglas YARA (web shells, reverse shells y mineros de criptomonedas)
• Respuesta a amenazas
  • Detección y bloqueo de comportamientos anómalos (bloqueo de IP, finalización de procesos, aislamiento de archivos)
  • Detección de técnicas de ocultamiento de rootkits y amenazas avanzadas
• Ampliación de seguridad
  • Detección de ataques con honeypots de red (puertos en escucha para atraer atacantes)
  • Actualización automática de inteligencia de amenazas (incluye consulta de reputación de IP)
  • Registro forense y verificación de integridad
• Facilidad operativa
  • Basado en un único script de Bash (sin necesidad de instalaciones complejas)
  • Incluye dashboard web y API REST
  • Optimizado para entornos de contenedores como Docker

Requisitos del sistema

• Linux Kernel 4.9+ (requiere eBPF)
• Bash 4.0+